网络安全 频道

UTM的选购与使用注意事项

    【IT168 专稿】经过三年多的发展,经历了初始的狂热和短期的沉寂,UTM进入了稳定快速的发展阶段。早在2006年3月,IDC在其年度报告中就预测当年UTM市场增长率为24.9%;2007年3月,IDC的年度报告中对UTM实际增长率的统计数据为84.3%,与此相应的防火墙市场的增长率则低于预期。对此,IDC进行了分析,认为用户对安全网关产品的需求并没有下降,整体仍然保持比较高的增长速度,防火墙市场空间下降的主要原因是“用户对UTM认可所致”,这也是UTM市场快速增长的原因。

    UTM究竟是什么?

    笔者理解UTM定义至少包括如下三个要素:

  1.面对的威胁

  UTM部署在网络边界的位置,针对2-7层所有种类的威胁。根据威胁破坏产生的后果,网络边界面临的威胁可以分为三类:对网络自身与应用系统进行破坏的威胁、利用网络进行非法活动的威胁、网络资源滥用威胁。

  ①对网络自身与应用系统进行破坏的威胁:此类威胁的特点就是以网络自身或内部的业务系统为明确的攻击对象,通过技术手段导致网络设备、主机、服务器的运行受到影响(包括资源耗用、运行中断、业务系统异常等)。ARP欺骗、DDoS攻击、蠕虫等均属于此类威胁。例如DOS攻击,虽然不破坏网络内部的数据,但阻塞了应用的带宽,对网络自身的资源进行了占用,导致正常业务无法正常使用。

  ②利用网络进行非法活动的威胁:此类威胁的特点是通过技术手段对主机或服务器进行入侵攻击,以达到政治目的或经济利益目的为目标。包括盗号木马、SQL注入、垃圾邮件、恶意插件等。例如盗号木马,通过这个工具,不法分子获得用户的个人账户信息,进而获得经济收益;又如垃圾邮件,一些不法分子通过发送宣传法轮功的邮件,毒害人民群众,追逐政治目的。

  ③网络资源滥用的威胁:此类威胁的特点是正常使用网络业务时,对网络资源、组织制度等造成影响的行为。包括大量P2P下载、工作时间使用股票软件、工作时间玩网络游戏等。比如P2P下载是一种正常的网络行为,但大量的P2P下载会对网络资源造成浪费,有可能影响到正常业务的使用;又如,股票软件是正常行为,但上班时间使用,降低了工作效率,对公司或单位构成了间接损失。这些行为都属于网络资源滥用。

  当然,由于是以结果进行分类,有些威胁可以同时归属于两类,例如SQL注入,有些注入是为了获取信息,达到政治或经济目的,属于第二类;有些注入后是为了修改网页,达到破坏正常网站访问业务的目的,属于第一类。这并不影响分类覆盖范围的全面性。

  2.处理的方式

  UTM是对传统防护手段的整合和升华,是建立在原有安全网关设备基础之上的,拥有防火墙、入侵防御(IPS)、防病毒(AV)、VPN、内容过滤、反垃圾邮件等多种功能,这些技术处理方式仍然是UTM的基础,但这些处理方式不再各自为战,需要在统一的安全策略下相互配合,协同工作。

  当然,对于众多的功能,有必备功能和增值功能之分。一般而言,防火墙、VPN、入侵防御、防病毒是必备的功能模块,缺少任何一个不能称之为UTM。其余是增值功能,用户可以根据自身需求进行选择。

  站在用户角度,面对的是整个网络、所有业务的安全,整体的安全策略实施是非常重要的。统一的策略实施是使多种安全功能形成合力的关键,各自为战是不能实现整体安全策略的。因此在UTM处理方式中,需要特别考虑策略的协调性、一致性。

  3.达成的目标

  有了面对的威胁对象和处理方式之后,就要看UTM能达成的目标了,也就是价值。UTM设备保护的是网络,能精确识别所有的威胁,根据相应策略进行控制,或限速、或限流、或阻断,保持网络畅通,业务正常运转是最好的结果,“精确识别和控制”是最为关键的。

  同时,UTM整合多种安全能力后,仍然需要保持比较高的性能,因此性能不能有明显下降;安全网关设备的可靠性要求毋庸置疑的;此外,由于设备的功能多,对网管员的要求高,管理方便、配置简单当然也是UTM类设备要达成的目标。

0
相关文章